L'accès SSH

Grâce au solutions apportées précédemment notre système est déjà bien sécurisé, mais nous pouvons encore renforcer cette sécurité en mettant en place une authentification par fichier clé:

Habituellement la connexion et l'authentification sur notre système s'effectue grâce à une paire login/mot de passe. Nous pouvons remplacer cette méthode qui n'est pas infaillible par une authentification par paires de clés.

Une fois la modifications mise en place, lors de chaque nouvelle connexion le système va s'assurer que l'utilisateur qui tente de se connecter possède une clé valide et si celle-ci est bien autorisée à effectuer une connexion pour cet utilisateur.

Bien qu'aucune méthode ne soit infaillible l'authentification par fichier de clé requiert de la personne voulant s'introduire dans le système qu'elle possède ce fichier. Nous pouvons donc renforcer la sécurité par rapport à un mot de passe qui peutêtre deviné par brute force.

Plusieur inconvénients sont cependant présents lorsque cette méthode est choisie, en effet il est impératif de devoir posséder le fichier de clé quel que soit l'endroit de la connexion, par exemple entre des ordinateurs au travail et à la maison.

Vous devrez également ajouté manuellement chaque nouveau fichier de clé qui sera autorisé à accéder à votre système, dans le cas par exemple de l'ajout d'un nouvel utilisateur ou de l'accès d'une personne autorisée a votre système.

Changer le port par défaut de connexion SSH

L'un des moyens les plus efficace pour arrêter les tests automatiques lancés contre les erveurs est de changer le port par défaut de SSH sur votre machine. Pour ce faire éditez votre fichier sshd_config

vi/etc/ssh/sshd_config

trouvez et éditez la ligne suivante du fichier en remplaçant la valeur par celle choisie et enregistrez la modification (:wq).

# What ports, IPs and protocols we listen for

Port 22

redémarrez le service SSH

/etc/init.d/ssh restart

Note :A présent la connexion à votre machine s'effectuera en précisant le nouveau port SSH utilisé : ssh utilisateur@Adresse_IP-p Votre_port.

Générer une paire de clé

Vous pouvez générer votre paire de clé depuis PuTTYgen disponible sous Windows.

Sous linux vous pouvez taper la commande suivante :

ssh-keygen

Copier une paire de clé

Une fois la paire de clés (une publique (.pub)/une privée) générée sur le pc (client) nous envoyons la clé publique sur le serveur pour autoriser l'ordinateur à ouvrir une session en tant qu'utilisateur désigné.

Pour ce faire chaque utilisateur de notre système dispose d'un fichier ssh/authorized_keys présent dans son répertoire local. Si vous êtes actuellement en train de générer la paire de clé sur votre système Debian vous pouvez utiliser la commande suivante afin de copier automatiquement la clé dans le fichier.

ssh-copy-id votre utilisateur@IP_VotreServeur

Si le dossier .ssh n'existe pas dans le dossier local de notre utilisateur nous devons le créer

mkdir .ssh

chmod 700 .ssh

vi .ssh/authorized_keys

ssh-rsa

AAB3NzaC1yc2EAAAADAQaSdMTJXMy3MtlQhva+j9CgguyVbU3nCKneB+ KjKiS/1rggpFmu3HbXBnWSUdf votre_utilisateur@machine.locale

On enregistre et on ferme le fichier ( :wq) Par mesure de sécurité serveur nous allons restreindre l'accès à notre fichier

chmod 600 .ssh/authorized_keys

A partir de maintenant notre utilisateur est autorisé à se connecter à la machine

Chrooter son système

Mettre en place une prison, un chroot pour ses utilisateurs peut être une bonne solution afin de sécuriser son serveur. Les utilisateurs emprisonnés sur le système auront un choix d'actions réduit aux commandes autorisées par vous-même.

Vous trouverez de plus amples informations sur le chroot et sa mise en place dans l'article disponible à l'adresse suivante suivante.